Sliver Tookit という最新/最強の攻撃ツール:Cobalt Strike は過去の遺物に?

Hackers adopt Sliver toolkit as a Cobalt Strike alternative

2022/08/25 BleepingComputer — 脅威アクターたちの好みが、正規のペンテスト・スイートである Cobalt Strike から、あまり知られていない類似のフレームワークを使う方向へと変化している。Brute Ratel (Red Teaming Tool) のに続くものとして、Sliver と呼ばれるオープンソースのクロスプラットフォーム・キットが、魅力的な代替品になりつつありる。さらに、Sliver を悪用するアクティビティは、ツールキット/動作/コンポーネントなどの分析から導き出された、ハンティング・クエリから検出されている。

Continue reading “Sliver Tookit という最新/最強の攻撃ツール:Cobalt Strike は過去の遺物に?”

Conti フラッシュバック:BazarCall による巧妙なフィッシング手口を分析する

Conti Cybercrime Cartel Using ‘BazarCall’ Phishing Attacks as Initial Attack Vector

2022/08/11 TheHackerNews — Conti サイバー犯罪カルテルの3つの分派が、標的ネットワークに侵入する際のイニシャル・アクセスの手段として、コールバック・フィッシングの手法を採用している。水曜日に発表したレポートにおいて、サイバー・セキュリティ企業である AdvIntel は、「それらの3つの自律的な脅威グループが、コールバック・フィッシングの手法から派生した、独自の標的型フィッシング戦術を開発/採用している」と述べている。

Continue reading “Conti フラッシュバック:BazarCall による巧妙なフィッシング手口を分析する”

Microsoft 警告:Exchange Server のハッキングにより BlackCat ランサムウェアが広まっている

Microsoft: Exchange servers hacked to deploy BlackCat ransomware

2022/06/13 BleepingComputer — Microsoft によると、BlackCat ランサムウェアのアフィリエイトが、未パッチの脆弱性を狙うエクスプロイトを用いて、Microsoft Exchange サーバーを攻撃しているとのことだ。Microsoft のセキュリティ専門家が観察した1つの事例では、攻撃者は被害者のネットワークをゆっくりと移動し、認証情報を盗んで情報を流出させ、二重の恐喝に利用しているようだ。最初の侵害から2週間後に、この脅威者は、パッチの適用されていない Exchange サーバーを侵入経路とし、PsExec を介してネットワーク全体に BlackCat ランサムウェアのペイロードを展開させた。

Continue reading “Microsoft 警告:Exchange Server のハッキングにより BlackCat ランサムウェアが広まっている”

Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている

Emotet malware now steals credit cards from Google Chrome users

2022/06/08 BleepingComputer — 現状における Emotet ボットネットは、Google Chrome のユーザー・プロファイルに保存されている、クレジット・カード情報を採取するように設計された・クレジット・カード盗用モジュールを被害者に感染させようとしている。このマルウェアは、クレジットカード情報 (氏名/有効期限/カード番号など) を盗み出した後に、通常の Emotet カード・スティーラー・モジュールが使用するものとは別の、Command and Control (C2) サーバーへと情報を送信する。

Continue reading “Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている”

ランサムウェア 2021年の調査:勝ち続ける帝国のパワーを数々の指標が証明

Ransomware still winning: Average ransom demand jumped by 45%

2022/05/23 HelpNetSecurity — Group-IB は、ナンバーワン脅威の進化を示すガイド Ransomware Uncovered 2021/2022 を発表した。このレポート第2版における調査結果によると、ランサムウェア帝国は連勝を重ね、2021年の身代金の返金要求額は、45% 増の $247,000 に達したとされる。2020年以降のランサムウェア・ギャングは、ずっと貪欲になっている。Hive がMediaMarkt に対して要求した身代金は、$240 million (2020年は $30 million) という記録的なものだった。Hive だけではなく、2021年のもう1人の新参者 Grief は、専用リークサイト (DLS) に投稿された被害者の数で、Top-10 ギャングの仲間入りを果たした。

Continue reading “ランサムウェア 2021年の調査:勝ち続ける帝国のパワーを数々の指標が証明”

Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた

Conti ransomware shuts down operation, rebrands into smaller units

2022/05/19 BleepingComputer — 猛威を奮った Conti ランサムウェア・ギャングだが、チームリーダーからブランドが存在しないことが伝えられ、インフラはオフラインにされ、正式に活動を停止した。今日の午後に、Conti の内部インフラが停止されたことが、Advanced Intel の Yelisey Boguslavskiy によりツイートされた。公開されている Conti News の、データ漏洩サイトと身代金交渉サイトはオンラインだが、Boguslavskiy は BleepingComputer に対して、メンバーが交渉に使っていたデータ漏洩サイトで、ニュースを公開するために使用されていた、Tor 管理パネルはオフラインになっていると語った。

Continue reading “Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた”

米国務省 $15 million の報奨金:Conti ランサムウェアに関する情報を求める

US offers $15 million reward for info on Conti ransomware gang

2022/05/07 BleepingComputer — 米国国務省 (Department of State) は、Conti ランサムウェア・ギャング幹部などの特定と所在確認に有効な情報に対して、最大で $15 million の報奨金を提供している。この報奨金のうち、$10 million はリーダーなどの身元や居場所に関する情報に対して、さらに $5 million はランサムウェア攻撃に関連する、逮捕や有罪につながる情報に対して提供されるという。

Continue reading “米国務省 $15 million の報奨金:Conti ランサムウェアに関する情報を求める”

風力発電機大手の Nordex が Conti ランサムウェアの攻撃に遭っている

Wind turbine firm Nordex hit by Conti ransomware attack

2022/04/14 BleepingComputer — 今月の初旬に風力発電機大手の Nordex がサイバー攻撃を受け、IT システムの停止とマネージド・タービンへのリモート・アクセスを余儀なくされた件について、ランサムウェア Conti が犯行を主張している。Nordex は、風力タービンの開発/製造において世界最大級の企業であり、全世界で 8,500人以上の従業員を擁している。Nordex は、4月2日にサイバー攻撃を受けたが、その検知が早期であったことで、攻撃の拡大を防ぐために IT システムを停止させたと明らかにした。

Continue reading “風力発電機大手の Nordex が Conti ランサムウェアの攻撃に遭っている”

ウクライナの研究者が反撃:Conti ランサムウェアのソースコードが大規模に流出

Conti Ransomware source code leaked by Ukrainian researcher

2022/03/01 BleepingComputer — ウクライナの研究者たちが、ランサムウェア Conti オペレーターの内部の会話や、ランサムウェアのソース、管理パネルなどを流出さ、壊滅的な打撃を与え続けている。Conti がロシアによる侵略を支持し、ウクライナのアフィリエイトを混乱させた後に、ある研究者が動き出したことで、Conti にとって極めて不利な展開の1週間となった。

Continue reading “ウクライナの研究者が反撃:Conti ランサムウェアのソースコードが大規模に流出”

Diavol ランサムウェアは TrickBot ギャングと関連している:FBI が正式に発表

FBI links Diavol ransomware to the TrickBot cybercrime group

2022/01/20 BleepingComputer — FBI の正式な発表により、ランサムウェア Diavol の活動と、バンキングトロイの木馬 TrickBot グループが結びつけられた。Wizard Spider として知られる TrickBot グループは、長年にわたって企業ネットワークに大損害を与えてきたマルウェアの開発者であり、Conti や Ryuk などのランサムウェアの攻撃や、ネットワークへの侵入、金融詐欺、企業スパイなどにつながっている。

Continue reading “Diavol ランサムウェアは TrickBot ギャングと関連している:FBI が正式に発表”

インドネシアの中央銀行 Bank Indonesia が Conti に攻撃されデータ・リーク?

Indonesia’s central bank confirms ransomware attack, Conti leaks data

2022/01/20 BleepingComputer — インドネシア共和国の中央銀行である Bank Indonesia (BI) が、先月にランサムウェア攻撃を受け、同社のネットワークが襲われたことを、今日になって認めた。このインシデントでは、BI の従業員が所有する「非重要データ」を攻撃者が盗み出した後に、同行ネットワーク上の 10数台のシステムにランサムウェアのペイロードを展開したと、CNN Indonesia が報じている。しかし、BI の広報担当者によると、Reuter が最初に報じたように、この事件は BI の公共サービスに影響を与える前に軽減されたとのことだ。

Continue reading “インドネシアの中央銀行 Bank Indonesia が Conti に攻撃されデータ・リーク?”

Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進

Russian Hackers Heavily Using Malicious Traffic Direction System to Distribute Malware

2022/01/19 TheHackerNews — サブスクリプション・ベースの Crimeware-as-a-Service (CaaS) ソリューションと、クラックされた Cobalt Strike のコピーの連携が確立され、脅威アクターによる侵入後の活動を支えるツールとして提供されていると、研究者たちは疑っている。この種のサービスだと言われる Prometheus の存在は、サイバー・セキュリティ企業である Group-IB が、悪意のソフトウェア配布キャンペーンの詳細を開示した 2021年8月に明らかにされた。

Continue reading “Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進”

Conti と Log4Shell:大物ランサムウェアは VMware vCenter に狙いを定める

Conti ransomware uses Log4j bug to hack VMware vCenter servers

2021/12/17 BleepingComputer — Conti のランサムウェアは、深刻な脆弱性である Log4Shell を利用して、組織内の VMware vCenter Server インスタンスに素早くアクセスし、仮想マシンを暗号化している。Conti は、この新しい攻撃手法の具体化に時間をかけることなく、Log4j の脆弱性を武器にした、最初の一線級のランサムウェア・ギャングとなった。

Continue reading “Conti と Log4Shell:大物ランサムウェアは VMware vCenter に狙いを定める”

Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している

Emotet Is Back and More Dangerous Than Before

2021/12/10 DarkReading — アーノルド・シュワルツェネッガーが演じたターミネーターのように、恐ろしいマルウェア Emotet が、再び世界中のコンピュータに感染し、あらゆる組織をランサムウェア攻撃の危険にさらしている。今週、Check Point の研究者たちは、バンキング・トロイの木馬からマルウェアのダウンローダーに変化した Trickbot に感染したシステム上で、Emotet サンプルが投下されているのを確認したと報告している。

Continue reading “Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している”

海運業大手の Swire Pacific Offshore がランサムウェア Clop の攻撃を受けている

Marine services giant Swire Pacific Offshore hit by ransomware

2021/11/26 BleepingComputer — 海洋サービス大手の Swire Pacific Offshore (SPO) は、ランサムウェア Clop の攻撃を受け、企業データを窃取された。同社の IT システムに、不正にネットワーク・アクセスされ、その結果、一部の従業員データが漏洩したという。SPO は、「IT システムへの不正アクセスを伴う、サイバー攻撃の標的になっていたことを発見した」と BleepingComputer に対して述べている。

Continue reading “海運業大手の Swire Pacific Offshore がランサムウェア Clop の攻撃を受けている”

Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?

Emotet botnet comeback orchestrated by Conti ransomware gang

2021/11/19 BleepingComputer — ボットネット Emotet が復活した背景には、ランサムウェア Conti のメンバーに説得された、元オペレーターの存在があるという。Advanced Intelligence (AdvIntel) のセキュリティ研究者たちは、10ヶ月前に法執行機関が Emotet を停止した後に生じた、高品質なイニシャル・アクセス分野での空白が、このプロジェクトの再開を後押ししたと考えている。

Continue reading “Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?”

Emotet が再生/復活:TrickBot を介してインフラを急速に拡大

Emotet malware is back and rebuilding its botnet via TrickBot

2021/11/15 BleepingComputer — スパム・キャンペーンや悪意の添付ファイルを介して広まる Emotet は、これまでに最も拡散したマルウェアだと言われてきた。Emotet は、感染したデバイスを悪用して他のスパム・キャンペーンを行い、QakBot (Qbot)/Trickbot マルウェアなどのペイロードをインストールしていた。これらのペイロードは、その後に、Ryuk/Conti/ProLock/Egregor などのランサムウェアを展開する脅威アクターのための、初期アクセスに使用されてきた。

Continue reading “Emotet が再生/復活:TrickBot を介してインフラを急速に拡大”

FIN12 ランサムウェアは医療機関を狙う:時間をかけない素早い侵害が特徴

FIN12 hits healthcare with quick and focused ransomware attacks

2021/10/07 BleepingComputer — ランサムウェアの多くは、被害者のネットワーク上で時間をかけて、重要なデータを盗み出そうとする。しかし、あるグループは、機密性の高い、価値の高いターゲットに対して、マルウェアを素早く展開することを好む。FIN12 グループは、ファイルを暗号化するペイロードを、ターゲット・ネットワーク上で実行するのに2日もかけず、その大半で Ryuk ランサムウェアを用いている。

Continue reading “FIN12 ランサムウェアは医療機関を狙う:時間をかけない素早い侵害が特徴”

企業ネットワークに侵入した犯罪者:30分以内に 36% が横移動を開始

Attackers Moving Faster Inside Target Networks

2021/09/09 DarkReading — セキュリティ研究者たちの報告によると、金銭的な動機を持った攻撃者や国家に支援されたグループは、標的となるネットワークに侵入し、足場を確保した後に、横方向へと移動する能力を高めている。CrowdStrike の Falcon OverWatch チームは、「2021 Threat Hunting Report」の中で、平均ブレイクアウト・タイム (攻撃者が最初のアクセスポイントからターゲット・ネットワーク内の他システムへ横方向に移動し始めるまでの時間) を、大幅にスピードアップしたと指摘している。

Continue reading “企業ネットワークに侵入した犯罪者:30分以内に 36% が横移動を開始”

Nokia の米子会社に Conti ランサムウェアが侵入した

Nokia subsidiary discloses data breach after Conti ransomware attack

2021/08/23 BleepingComputer — Nokia の米子会社である SAC Wireless は、Conti ランサムウェアによる攻撃を受け、ネットワークへの侵入と、データの窃取、システムを暗号化を許し、また、データが流出したことを公表した。米国イリノイ州シカゴに本社を置く Nokia 子会社である SAC Wireless は、米国内の通信事業者および、基地局、OEM 企業などと取引を行っている。SAC Wireless は、5G および、4G LTE、スモールセル、FirstNet などの、セルラー・ネットワークの設計/構築/アップグレードなどを顧客に提供する企業である。

Continue reading “Nokia の米子会社に Conti ランサムウェアが侵入した”

LockBit ランサムウェアが復活:セキュリティ・ベンダーたちが警鐘を鳴らす

Security Vendors Sound the Alarm on LockBit Ransomware’s Return

2021/08/19 DarkReading — 2019年に登場した Ransomware-as-a-Service (RaaS) である LockBit の運営者が再登場し、マルウェアの改良版を発表するとともに、ダークウェブや標的となる組織内からアフィリエイトを募るという、不吉で積極的なキャンペーンを展開している。

Continue reading “LockBit ランサムウェアが復活:セキュリティ・ベンダーたちが警鐘を鳴らす”

アイルランドのヘルスケア機関が Conti ランサムウェアに攻撃された

Irish healthcare shuts down IT systems after Conti ransomware attack

2021/05/14 BleepingComputer — アイルランドの公的ヘルスケア機関である Health Service Executive (HSE) が、ランサムウェア攻撃によりネットワークが侵害され、すべての IT システムを停止した。HSE の Chief Executive である Paul Reid は NewstalkFM に対して、「Conti のオペレーターが操作するランサムウェア攻撃であり、データへのアクセスを目的としている」と述べている。

Continue reading “アイルランドのヘルスケア機関が Conti ランサムウェアに攻撃された”